UT7 - Malware Flashcards
Que significa Malware?
MALicious + softWARE = MALWARE
Es el término que se utiliza para designar el software que realiza acciones no autorizadas y perjudiciales para el usuario que lo está ejecutando.
El objetivo de un malware es obtener información o realizar acciones no
autorizadas en un equipo o una red.
Los malware son programas de alta complejidad y suelen ser producidos por
organizaciones especializadas en el cibercrimen
Cuales son las principales caracteristicas del malware?
Se auto propagan (se copian entre equipos y/o entre archivos)
Subrepticios (se ocultan del usuario)
COmo es el malware Troyano?
Se presenta como un software de utilidad para que el usuario lo descargue, lo ejecute y así
poder instalarse en el equipo.
Como es el malware virus?
Se propaga anexándose a otros programas y ejecutándose antes que el programa original.
Que es el malware spyware?
Tiene el objetivo monitorear y recolectar información sensible del usuario (ej; credenciales
de acceso, PIN, etc)
Que es el malware Ransomware?
Cifra los archivos del equipo, impidiendo el acceso a estos. Luego solicita un rescate para
devolver el acceso a éstos.
Que es el malware Botnet?
Es una red de equipos bajo el control de un atacante sin el conocimiento ni consentimiento
del verdadero propietario/usuario. Estas redes se utilizan para realizar ataques del tipo DDoS, para lanzar otros ataques (ej: phishing) o para cubrir los rastros de un ataque.
Que es el malware Rookit?
Tiene el objetivo de dar accesos privilegiados al atacante
Cuales son las etapas de una infeccion de malware?
Como es la etapa de
Fase 1.1 – Acceso Inicial
Distribución de archivos infectados
* Distribución de links maliciosos
* Servicios de acceso remotos expuestos
* Cuentas validas previamente comprometidas
* Explotación de aplicaciones y vulnerabilidades expuestas en internet
Como es la etapa de Fase 1.2 – Ejecución
El usuario activa el link, el archivo, etc.
Se ejecutan comandos a través de explotación de vulnerabilidades en
servicios/aplicaciones
Como es la etapa de Fase 2.1 – Persistencia
- El malware intenta asegurar su permanencia ante un reinicio, actualizaciones, etc.
- Busca infectar secciones del sistema operativo y/o servicios que se ejecutan
automáticamente
Como es la etapa de Fase 2.2 – Evasión de defensas
Polimorfismo, ofuscación y cifrado del malware para evitar EDR/XDR
Técnicas de evasión de detecciones heurísticas, por ejemplo, intercalar actividades
maliciosas con operaciones normales y habituales del sistema
Técnicas de evasión de los mecanismos de debug
Como es la etapa de Fase 2.3 – Elevación de privilegios
El malware intenta obtener privilegios especiales
Ejecución de vulnerabilidades locales
Intento de obtener acceso a credenciales de cuentas privilegiadas
Descarga y utilización de rootkits
Como es la etapa de Fase 2.4 – Discovery
- Identificación de nuevas cuentas y credenciales del sistema.
- Identificación de servicios en la red
- Identificación de mecanismos de intercambio de información (ej: shares, ftp, RDP, etc)
- Identificación de archivos significativos
Como es la etapa de Fase 2.5 – Movimiento lateral
- El malware intenta extenderse a otros equipos. Esto dispara la fase de Infección en
otros equipos. Para esto utiliza la información obtenida en la fase de Discovery - Infección de archivos a la espera a que sean compartidos por el usuario
- Puede enviar correos con anexos infectados o links maliciosos.
- Puede intentar usar las credenciales identificadas para acceder a servicios de otros
equipos (ej: shares, RDP, ftp, http, etc) - Explotar vulnerabilidades conocidas en otros equipos
Como es la etapa de Fase 3.1 – Recolección de información
- El malware busca toda la información que pueda tener valor para el atacante o que le
sirva para nuevas infecciones. Esto incluye comprometer la cuenta de correo, la libreta
de contactos, etc. - Credenciales a sistemas, Key managers, bases de datos, tarjetas de crédito, archivos
confidenciales, código propietario, etc.
Como es la etapa de Fase 3.2 – Acceso remoto
- El malware ofrece acceso remoto o la posibilidad de ejecutar comandos al atacante
(ej: botnet) - Expone el servicio mediante puertos específicos o estándares
- Utilización de canales encubiertos (cover channels)
- Descarga de software/herramientas complementarias
Como es la etapa de Fase 3.3 – Extracción de información
- Envió de información relevante al atacante
- Compresión de datos para evitar indicadores de ancho de banda o límites de
transferencias. - Utilización de mecanismos estándares (correo, ftp, http, etc)
- Subida de archivos cifrados a blogs u otros sitios públicos
Como es la etapa de Fase 3.4 – Cifrado de información
- En los casos de ransomware, se procede al cifrado de todos los archivos del sistema.
- La llave de cifrado se envía al atacante mediante algún mecanismo de Extracción de
información (Fase 3.3) - El cifrado también se puede usar como parte del mecanismo de Extracción de
información
Cuales son los dos escenarios poisbles en la prevencion del malware?
Hay dos escenarios posibles: que controlemos los equipos a proteger o que
no los controlemos.
Como es el escenario de proteccion Si controlamos los equipos a proteger?
- Un ejemplo de esto es cuando el objetivo del malware es la
infraestructura de una empresa. - Uso de antivirus/antimalware y EDR/XDR (Endpoint Detection and
Response) - Restringir la navegación de los usuarios solo a sitios seguros
- Herramientas de DLP (Data Loss Prevention)
- Realización de respaldos
- Concientización (mucha!)
Como es el escenario de proteccion Si no controlamos los equipos a proteger?
- Un ejemplo de esto es cuando el objetivo del malware es un
usuario externo como camino a atacar una organización (ej:
comprometer credenciales de acceso a una institución financiera,
publica, etc) - En estos casos no podemos prevenir la infección, nos focalizamos.
Mitigar el impacto. - Utilizar esquemas robustos de autenticación (MFA)
- Usar programas comportamentales de prevención de fraudes
- Notificaciones de operaciones
- Campañas de concientización (ej: Stop-Think-Connect)
